splunk_forwarder
Ansible Роль: splunk-forwarder
Эта роль развернет универсальный агент Splunk.
Требования
Эта роль протестирована на Ubuntu 22.04 и 20.04, Oracle Linux 8 и 9, AmazonLinux 2023 и Debian 12, но, вероятно, будет работать на любой системе, основанной на systemd. Предыдущая версия этой роли доступна как тег (v1.0).
Переменные роли
По умолчанию
Для большинства пользователей переменные по умолчанию должны быть подходящими, но есть случаи, когда их нужно изменить. Вот они:
- splunk_forwarder_user # Пользователь по умолчанию (splunk)
- splunk_forwarder_group # Группа по умолчанию (splunk)
- splunk_forwarder_uid # UID по умолчанию (10011)
- splunk_forwarder_gid # GID по умолчанию (10011)
- splunk_release # Версия релиза по умолчанию (7.1.3)
- splunk_url # URL для загрузки по умолчанию
- splunk_forwarder_rpm # Имя RPM пакета Splunk по умолчанию
- splunk_forwarder_deb # Имя Deb пакета Splunk по умолчанию
- splunk_rpm # Полный URL для RPM по умолчанию
- splunk_deb # Полный URL для Deb по умолчанию
- splunk_deb_checksum # Контрольная сумма для Deb пакета по умолчанию
- splunk_rpm_checksum # Контрольная сумма для RPM по умолчанию
- splunk_forwarder_input_blacklist # Черный список для inputs.conf по умолчанию
- splunk_forwarder_manage_inputs # Управление inputs.conf по умолчанию (true)
- splunk_forwarder_manage_ouputs # Управление ouputs.conf по умолчанию (true)
- splunk_forwarder_install_with_package_manager # Использовать пакетный менеджер по умолчанию (false)
- splunk_forwarder_packages # Пакеты пакетного менеджера по умолчанию ([splunkforwarder])
- splunk_forwarder_cpu_shares # CPUShares для файла запуска systemd по умолчанию
- splunk_forwarder_memory_limits # MemoryLimit для файла запуска systemd по умолчанию
Переменные плейбука
Внутри вашего плейбука вы должны установить следующие переменные:
- splunk_forwarder_admin_user: # Установите административного пользователя для агента
- splunk_forwarder_admin_pass: # Установите административный пароль для агента
- splunk_forwarder_depl_server: # Установите URL:Port вашего сервера развертывания splunk, например, "splunk-mgt:8089" (необязательно)
- splunk_forwarder_indexer: # Установите URL:PORT вашего индекса spleunk, например, "splunk-indexer:9997"
- splunk_forwarder_index: # Установите индекс, который должен использовать агент, например, "default"
- splunk_forwarder_sourcetype: # Установите тип источника, например, "nginx"
Вам также нужно установить, какие логи пересылать. Вы можете сделать это, используя список:
- splunk_forwarder_logs:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
Зависимости
У вас должен быть работающий индексатор Splunk в вашей среде.
Пример плейбука
Вы должны определить необходимые переменные в вашем плейбуке и вызвать роль:
- hosts: nginx
remote_user: ec2-user
become: True
vars:
splunk_forwarder_indexer: "splunk-indexer:9997"
splunk_forwarder_index: "prodapps"
splunk_forwarder_sourcetype: "nginx"
splunk_forwarder_logs:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
roles:
- splunk-forwarder
Если вы хотите запустить это на инстансах AmazonLinux, добавьте следующее к вашему плейбуку, иначе это приведет к ошибке.:
pre_tasks:
- set_fact: ansible_distribution_major_version=6
when: ansible_distribution == "Amazon" and ansible_distribution_major_version == "NA"
Лицензия
MIT
Информация об авторе
Марк Хономичл, также известный как AustinCloudGuru Создано в 2016 году
ansible-galaxy install AustinCloudGuru/ansible-role-splunk-forwarder